Ответный взлом: шесть оправданий и бессмысленность каждого из них

Если идея «ответного взлома» киберпреступников, которые навредили вам или вашей компании, кажется вам, вашим сотрудникам или вашему супругу/вашей супруге разумной, тогда читайте далее. Это невероятно рискованная стратегия (ссылка на предыдущий

Если идея «ответного взлома» киберпреступников, которые навредили вам или вашей компании, кажется вам, вашим сотрудникам или вашему супругу/вашей супруге разумной, тогда читайте далее. Это невероятно рискованная стратегия (ссылка на предыдущий пост). Но если вы решительно настроены ей следовать, по крайней мере, примиритесь с рентабельностью (или её отсутствием).

Сначала давайте прикинем, по каким причинам мы вообще можем начать мечтать об этом: есть шесть вероятных мотивов или очевидных стимулов «ответного взлома». Вот они:

  • Чтобы остановить хакеров. Это можно сделать только двумя способами:
    • Уничтожив их ресурсы. Это очень маловероятно, так как злоумышленники достаточно умны, чтобы иметь резервные системы. Вдобавок, у них не уйдёт много сил на то, чтобы зарядить всё снова: нужен-то всего один ПК плюс вредоносная программа из подпольного интернет-магазина самообслуживания.
    • Запугав. Тоже маловероятно — у преступников такое преимущество, что застращать их нелегко.
  • Чтобы отвадить других хакеров. Для этого нужно, чтобы прочие хакеры узнали о контратаке, но это породит другую проблему. Любая компания, провозгласившая агрессивное преследование киберпреступников сама подставляется в качестве мишени (если не трофея). Фурия в аду — ничто в сравнении с высмеянным хакером.
  • Чтобы добыть доказательства кражи. Это возможно лишь в том случае, когда команде ответных взломщиков удалось найти украденную информацию в незашифрованном виде на компьютерах хакеров. И даже тогда «доказательство» должно присутствовать в такой форме, которая убедит правоохранителей в том, что улика не подброшена и не сфабрикована.
  • Чтобы вернуть украденную информацию. Это самое смешное из всех оправданий, при этом наиболее часто приводящееся в юридических блогах, законодателями и комиссиями в качестве основательного повода для ответного взлома. Трудно поверить, что кто-либо, обладающий хотя бы крупицей знания о том, как работают компьютеры, может подумать, что хакер станет воровать нечто ценное и хранить, не копируя и не шифруя, что они как раз и делали с преступно добытыми данными на протяжении многих лет. Даже самого низкого пошиба шантажисты вроде презренных секс-вымогателей умеют делать копии.
  • Чтобы возместить ущерб. Это первое обоснование, которое могло бы иметь смысл, будь у вас есть огромное количество ресурсов, которые можно бросить на решение проблемы. Начать с кражи у хакеров чего-то в равной степени ценного и затем:
    • Обменять это на деньги или активы, чтобы компенсировать кражу вашей информации.
    • Использовать для торга с нападавшими, чтобы устранить последствия нападения (вернуть украденное имущество, уничтожить копии, обеспечить компенсацию расходов на ликвидацию последствий).
  • Отомстить — нанести ответный, столь же болезненный удар. Это звучит заманчиво, но может и породить полномасштабный конфликт, который приведёт к огромным потерям, так как хакеры уничтожат всё, до чего доберутся. Вдобавок, это незаконно. Даже если какие-либо правоохранительные органы поддержат вашу инициативу, они уйдут в тень, как только дело станет достоянием гласности.

wide2

Кроме того, поскольку невинные третьи лица, чьи системы были заражены, могут пострадать в результате ответного взлома, мы должны быть уверены в том, что знаем, на кого в конечном счёте ляжет вся ответственность. Всё осложняется ещё и тем, что злоумышленники знают, какие инструменты используют специалисты кибербезопасности для установления авторства. Это означает, что хакеры могут их использовать для собственной маскировки. Например, они добавляют в код строки на чужом языке, запускают атаки от имени интернет-провайдеров в других странах и даже передают свои атаки другим хакерам на аутсорс. Из-за этого точное определение преступников ныне считается практически невозможным без письменного признания.

Наша общая позиция относительно ответных хакерских взломов проста: в них никогда не бывает смысла. Во-первых, это незаконно. Во-вторых, решения о действиях подобного рода почти всегда принимаются на эмоциях, при этом цена, которую придётся заплатить, имеет тенденцию расти по экспоненте. В-третьих, компании, которые решаются на подобное, подвергают дополнительным рискам не только себя (с потенциально катастрофическими последствиями), но и третьи стороны, которые вообще ни при чём. В случае «тотальной войны хакинга» компании, решившиеся на активные ответные действия, потеряют куда больше, чем хакеры — практически всегда.

Существуют несколько методик активной защиты, которые позволят предотвратить новые атаки, что сделает контр-удары ненужными.

В числе таковых:

  1. Защита внутренних сетей
  2. Методы отвлечения внимания, приманки и ловушки («honeypot»)
  3. Надёжные средства аудита, отслеживания и шифрования данных внутри инфраструктуры
  4. Регулярное изучение новых продуктов и новых методов в этой области

И, разумеется, надёжное защитное решение, позволяющие предотвращать вторжения, должно быть на месте и работать на всю мощность.

Советы
Подпишитесь на нашу еженедельную рассылку
  • For all other countries